常见问题

本页面提供关于证书与密钥服务的一些常见问题的解答

一般性问题

什么是私有证书管理?

私有证书管理是私有CA和私有证书的管理平台。用户可以通过可视化操作,建立完整的CA层次体系,包括根CA以及中间CA等,并使用它签发证书,实现了在组织内部签发和管理自签名私有证书。主要用于对组织内部的应用身份认证和数据加解密。私有CA颁发的证书仅在您的组织内受信任,在Internet上不受信任。

私有证书和SSL证书区别?

私有证书是由企业内部自建的CA机构签发的证书,SSL证书是由公共信任CA机构(如DigiCert、GlobalSign、GeoTrust等)签发的证书。私有证书可以部署到内网,并且私有证书仅在您的组织内受信任,在Internet上不受信任。SSL证书不可以部署到内网,SSL证书需要绑定域名。

什么是公钥和私钥?

公钥和私钥是不对称的加密方式。公钥(Public Key)与私钥(Private Key)是通过算法得到的一个密钥对,公钥是公开的,私钥是非公开的。

公钥、私钥、数字证书的关系是什么?

根据非对称密码学的原理,每个证书持有人都有一对公钥和私钥,这两把密钥可以互为加解密。

公钥是公开的,不需要保密,而私钥是由证书持有人自己特有,并且必须妥善保管和注意保密。数字证书则是由证书认证机构(CA)对证书申请者真实身份验证之后,用CA的根证书对申请人的一些基本信息以及申请人的公钥进行签名(相当于加盖发证书机构的公章)后形成的一个数字文件。

数字证书就是经过CA认证过的公钥,数字证书和公钥是公开的,而私钥一般情况都是由证书持有者在自己本地生成或委托受信的第三方生成的,由证书持有者自己负责保管或委托受信的第三方保管。

证书服务中,您申请证书时,证书请求文件是系统自动生成的,在您的证书签发成功后,私钥和证书文件将统一放在证书文件夹内,您可通过下载证书进行获取。

什么是单证书和双证书?

通常情况下,服务器会安装一张证书,用于签名和加密,这就是单证书。 而双证书则包括签名证书和加密证书,签名证书在签名时使用,仅仅用来验证身份,加密证书在密钥协商时使用,其私钥和公钥由CA产生,并由CA保管。

国密SSL与等保2.0关系?

2017年,《中华人民共和国网络安全法》的正式实施,标志着等级保护2.0的正式启动。等级保护2.0明确规定,要求对网络通信中的报文或会话过程全文加密(三级)。 其中的密码技术,主要技术标准之一就是国密SSL。

国密SSL是什么?

国密SSL指的是采用国密算法(SM1/2/3/4等),符合国密标准(GM/T0024-2014和GB/T38636-2020)的安全传输协议。简而言之,国密SSL就是SSL/TLS协议的国密版本。

什么是用户主密钥 ?

用户主密钥(Customer Master Key,CMK),是用户或云服务通过密钥管理创建的密钥,是一种密钥加密密钥,主要用于加密并保护数据加密密钥。一个用户主密钥可以加密多个数据加密密钥。

为什么采用信封加密的方案加解密大数据 ?

避免使用网络传输大量的数据,占用带宽,接口响应慢,网络不稳定的情况下还需要考虑断点续传等问题。

安全性问题

为什么建议使用子CA来签发终端证书?

子CA是根CA的代理,根CA和它的私钥需要更加安全的保护,通过子CA签发证书,即使子CA的私钥泄露仅影响该子CA上签发的证书,不会影响其他子CA签发的证书。

数字签名和验签流程?

签名过程:

a. 发送方使用摘要算法计算消息原文message的摘要,得到digest

b. 发送方使用自己的私钥PK对摘要digest进行加密,得到签名sign

c. 发送方将签名sign和消息原文message一起发送给接收方

验签过程:

a. 接收方使用发送方对外公开的公钥解密签名sign,得到摘要信息ori_digest

b. 接收方根据消息原文message,使用与发送方同样的摘要算法生成摘要信息d

c. 接收方对比自己计算消息原文得到的摘要d和解密发送方发来的签名得到的摘要ori_digest是否相同,如果相同则证明在传输过程中消息原文没有被更改,验签成功;如果不相同,消息可能已被篡改,验签失败

层次化密钥结构的好处?

1.增强安全性,通常情况下,在层次化密钥结构里越底层的密钥更换越早,最底层密钥能实现每加密一份数据就能更换一次。

2.在层次化的密钥结构中,下层的密钥遭受破译是不影响上层密钥安全的。

为什么不能立即删除用户主密钥?

删除密钥是非常谨慎的操作。因为密钥一旦被删除,所有使用该密钥加密的相关数据都无法解密。因此在删除密钥时,密钥服务会将该操作推迟7天以上执行,具体推迟时间由用户指定。超过推迟时间,密钥才会被真正删除。在密钥被真正删除之前,如果用户发现该密钥仍然有用,可取消删除操作。通过这种方式来减少用户误操作所带来的损失。

是否可以从KMS中导出用户主密钥?

不可以。

为确保用户主密钥的安全,用户只能在密钥服务中创建和使用用户主密钥,无法导出用户主密钥。

如果用户主密钥被彻底删除,用户数据是否还可以解密?

不可以。

若用户主密钥被彻底删除,密钥服务将不再保留任何该密钥的数据,使用该密钥加密的数据将无法解密;若用户主密钥没有被彻底删除,则可以通过密钥服务界面取消删除用户主密钥。

常见问题解决

360安全浏览器管理平台如何导入国密CA?

360企业安全浏览器,官网地址:http://browser.360.cn/se/ver/ent.html 。 360安全浏览器管理平台作为服务端(注意:此服务端管理平台只是一个Web页面,与浏览器无关),登录之后,可以对国密CA和证书进行导入和管理等操作。 360安全浏览器管理平台地址如下:https://saas.browser.360.cn

360企业安全浏览器客户端如何验证国密HTTPS服务?

测试配置了国密证书的 HTTPS 服务时,需要安装 360企业安全浏览器客户端,下载地址如下:https://browser.360.cn/se/ver/entDownload.html 。 安装好之后,需要登录,登录成功之后,即可自动将上面服务端导入的国密CA同步到客户端浏览器,之后客户端再访问配置了国密证书的HTTPS服务时,因为可以验证该国密证书是由信任的国密CA签发的,所以访问时不会再提示不安全。